書く内容の方針とかはフラフラしているのです。あまり考えていないかも知れません。面白いなぁと思うこと、大事なことだなぁと思うことを書いています。あんまり悲しいことは書かない主義。
20060429追記:
4月度更新を行った後のIEに存在するCSSXSS脆弱性をついた実証コードが4/28以後に某所で公開されています。
追記終わり
4月度のセキュリティ更新プログラムを適用しても、いわゆるCSSXSS脆弱性はFIXされていないことを確認いたしました。
最近まで流通してた各種CSSXSS脆弱性の各種実証コードは、4月度のセキュリティ更新プログラムの適用後、無効になっているようです。JavaScriptでcssTextをハンドリングすると外部サイトのスタイルシートならば「アクセスが拒否されました」というエラーになるからです。いっけん一安心のように感じられます。
しかし現時点では、Microsoft社としては、いわゆるCSSXSS脆弱性(CVE-2005-4089)の対策を行ったとは言明していません。修正プログラムの説明を細かく見ても、CVE-2005-4089については触れられていません。そこで調べてみたところ私の手元でのテストでもCSSXSS脆弱性はまだ残っていることが判明いたしました。
悪意あるサーバ側の罠ページを参照しただけで、クロスドメインでターゲットとなるサイトの、ログイン済みでなければ提供されないHTML出力を、罠ページ側のcssTextで参照出来ました。フルパッチのIE6、on WindowsXP SP2 でテストしました。
PoCは公開できませんが、従来から知られているPoCの軽度な変種にすぎません。新しい脆弱性を発見したわけではありません。以下は確認した時の画像です。
ログイン状態でなければ表示されない、はてなのユーザー名(この場合は私の'hoshikuzu')を含む『はてなの』HTMLコンテンツが、stardust.s2.xrea.com上のページでスタイルシートとして取り込まれ、cssTextを通じてtextarea要素内に出力されました。
取り込んだ対象のURLは、かつて、はまちちゃんが使って有名になった、http://b.hatena.ne.jp/t/%7b です。このページ内で、ログインしていなければ、ようこそゲストさん
、と表示され、ログインしてあれば、例えば、ようこそhoshikuzuさん
、と表示される部分を、外部サイト上のPoCで採取してるところが見て取れます。このことは、秘密情報の漏洩が発生しうるということを意味しています。
依然としてCSSXSS脆弱性はあるものと覚悟して、自衛していったほうが良いでしょう。
ところで Matan Gillon氏のPoCは、NOD32は検出したりしますね。(JS/Exploit.GDesk.A)
そこでですね、広く情報収集したところ、なんと、4月のセキュリティ更新プログラム配信の【前に】私と同じロジックで辿り着いた人がいるのを発見したです〜はい。それで安心したのでした。
cleemyさんの手法が私と同じかどうかはわかりませんが、別種だとするとそれは新しい脆弱性かもしれません。同じ種類ならば、とりたてて新しくもないことでして、IPAさんに御報告するまでもないことです。私の場合にはjoroさんが(Guninskyさんが)大昔に使った手法が潜在意識の中に残っていたとしか言いようがありません。思いつき30秒、検証3時間ぐらいです。時間がかかるのは私の宿命です。
といいますか、私の日記での『新しい脆弱性を発見したわけではありません。』という言明では、チカラコブを膨らまして叫んでいます。cleemyさんが「ひょっとして新しい?」と…お思いでしたら是非にIPAさんに御連絡をお願い致します。
たとえば、cleemyさんの手法で、XMLHttpRequestや、ActiveXObjectのMsxml2.XMLHTTPやMicrosoft.XMLHTTPやらの、本来クロスドメインでアクセスが禁止されているはずの各種アクセス方法が「アクセスが拒否されました」と制限がかからなくなるとエライこっちゃです。私の場合には大丈夫でして深刻な事態にはなっていません。cleemyさんの手法がこれを突破しているのならば、いわゆるCSSXSSどころの騒ぎではありませんから…
大丈夫ですよね♪
などと放言してみました。m(_ _)m
僕のはあまりにも簡単な方法なので多分新しい脆弱性という事はないはずですがいちおう他のクロスドメイン絡みも確認してみます。
まあ新しい脆弱性だとしても、はなくそをほじりながら「ふ〜ん新しい脆弱性なのか。IPA?知らんし。」とつぶやいて <del>自分だけのものに</del> hoshikuzuさんには検証のために教える事にしますので、IPA届け出プロクシとなるかどうかはお任せします。